面向查詢優(yōu)化網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)建設(shè)方案研究

摘 要：查詢平臺(tái)建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)可以向某些權(quán)威機(jī)構(gòu)購(gòu)買，也可以自己生成。目前的改進(jìn)后的系統(tǒng)中要采用由OPENSSL工具包來(lái)生成查詢平臺(tái)建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)，由于查詢平臺(tái)建設(shè)是大家都信任的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)機(jī)構(gòu)，因此查詢平臺(tái)建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)是自我進(jìn)行數(shù)字簽名的。需要注意的是，在生成查詢平臺(tái)建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)文件和對(duì)應(yīng)私鑰文件的過程中，會(huì)要求安全管理員設(shè)定私鑰的口令，用來(lái)保護(hù)私鑰的使用。也就是說(shuō)，在任何需要使用查詢平臺(tái)建設(shè)私鑰對(duì)其他的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)進(jìn)行數(shù)字簽名的情況下，都需要先輸入該私鑰口令。

關(guān)鍵詞：查詢優(yōu)化；網(wǎng)絡(luò)數(shù)據(jù)；平臺(tái)建設(shè)

中圖分類號(hào)：TP311

在改進(jìn)后的系統(tǒng)中，客戶端也必須有自己的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)和私鑰來(lái)向其他人證明自己的身份，并且其數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)必須經(jīng)過查詢平臺(tái)建設(shè)的數(shù)字簽名，以便讓信任該查詢平臺(tái)建設(shè)數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)的使用者也相信該查詢平臺(tái)建設(shè)簽過名的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)。由查詢平臺(tái)建設(shè)產(chǎn)生的用戶數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)有以下特點(diǎn)：

（1）令任何有查詢平臺(tái)建設(shè)公開密鑰的用戶都可以恢復(fù)被證明的用戶公開密鑰。

（2）除了數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)權(quán)威機(jī)構(gòu)查詢平臺(tái)建設(shè)外，沒有任何一方能更改該數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)而不被察覺。

1 網(wǎng)絡(luò)數(shù)據(jù)平臺(tái)查詢優(yōu)化安全控制設(shè)計(jì)

在生成私鑰的時(shí)候，會(huì)讓系統(tǒng)的安全管理員設(shè)定保護(hù)私鑰的口令，日后任何人想使用服務(wù)器的私鑰時(shí)，都必須提供該口令，當(dāng)OPENSSL工具包驗(yàn)證口令和私鑰相匹配后，才能使用客戶端的私鑰文件，原則上說(shuō)，只有客戶端數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)的擁有者才知道客戶端私鑰的口令，因此輸入用戶密碼如果和私鑰相匹配，則驗(yàn)證了用戶方的身份。

只有經(jīng)過查詢平臺(tái)建設(shè)簽過名的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)對(duì)外界來(lái)說(shuō)才是有效的，才可以用來(lái)向其他信任查詢平臺(tái)建設(shè)的人證明自身的身份[15]，因此，在生成客戶端的數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)和私鑰后，還需用查詢平臺(tái)建設(shè)的私鑰對(duì)數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)文件client.pem進(jìn)行數(shù)字簽名。

服務(wù)器端數(shù)據(jù)網(wǎng)絡(luò)平臺(tái)與私鑰的生成與客戶端是相似的，在此不再重復(fù)。

2 查詢優(yōu)化數(shù)據(jù)平臺(tái)報(bào)文的保護(hù)

當(dāng)安全連接建立完畢后，系統(tǒng)對(duì)之后客戶方和服務(wù)器方發(fā)送IIOP報(bào)文的保護(hù)是通過摘要和對(duì)稱加密算法來(lái)保證其完整性與機(jī)密性的。因此，摘要算法和對(duì)稱加密算法的選擇對(duì)整個(gè)系統(tǒng)的安全健壯性就顯得尤為重要。

當(dāng)SSL握手成功之后，安全連接就建立起來(lái)了，此時(shí)只要使用SSL_read（）和SSL_write（）讀寫SSL套接字代替?zhèn)鹘y(tǒng)的recv（）和send（）操作?？蛻舳撕头?wù)器端就可以彼此發(fā)送IIOP報(bào)文，進(jìn)行安全通信了。此時(shí)，在客戶端和服務(wù)器端之間發(fā)送的報(bào)文都根據(jù)系統(tǒng)規(guī)定的安全保護(hù)質(zhì)量，通過3DES加密算法進(jìn)行了加密與解密并用SHA-1算法進(jìn)行數(shù)字摘要，以進(jìn)行完整性與保密性保護(hù)。

在數(shù)據(jù)平臺(tái)網(wǎng)站中，在前臺(tái)會(huì)有不同級(jí)別的會(huì)員來(lái)訪問網(wǎng)站，而不同級(jí)別的會(huì)員能夠享受到的服務(wù)也不同；在后臺(tái)管理端，也會(huì)有不同級(jí)別的管理員來(lái)登錄管理網(wǎng)站，不同級(jí)別的管理員也會(huì)有不同的權(quán)限，所以，基于角色的訪問控制功能非常適用于數(shù)據(jù)平臺(tái)網(wǎng)站中。下面就簡(jiǎn)單介紹一下基于角色的訪問控制服務(wù)，并提出基于角色的訪問控制模型。

基于角色的訪問控制簡(jiǎn)稱RBAC，（RoleBasedAccessControl），這種訪問控制中，訪問許可權(quán)限與角色相對(duì)應(yīng)，而用戶則是相應(yīng)角色的成員。角色和訪問控制中用戶組的概念相近。但是，不同的是，角色不僅對(duì)應(yīng)于一組用戶，同時(shí)還對(duì)應(yīng)于一組權(quán)限，而典型用戶組只定義成一組用戶的簡(jiǎn)單組合。我們可以把角色看作是為了闡述訪問控制策略而定義的語(yǔ)義結(jié)構(gòu)。和一個(gè)角色相對(duì)應(yīng)的用戶集和權(quán)限集合可能是暫時(shí)的，但是角色本身則相對(duì)穩(wěn)定得多，因?yàn)橐粋€(gè)組織或機(jī)構(gòu)的活動(dòng)或功能一般不會(huì)頻繁的變動(dòng)。

訪問控制策略包含于RBAC的不同組件中，如：角色—權(quán)限、用戶—角色以及角色—角色關(guān)系。這些組件一起決定某個(gè)特定的用戶是不是有權(quán)訪問系統(tǒng)中特定的一塊數(shù)據(jù)。RBAC組件可能直接由系統(tǒng)所有人配置或由他委托的適當(dāng)?shù)慕巧g接地進(jìn)行配置。某特定系統(tǒng)實(shí)施的安全策略都有上述配置好的RBAC組件決定。此外，在系統(tǒng)生命周期中訪問控制可以不斷的進(jìn)化。RBAC的一個(gè)很突出的優(yōu)點(diǎn)就是它可以根據(jù)系統(tǒng)要求的變化很方便地修改策略。

在許多訪問控制系統(tǒng)中，一般都會(huì)提供用戶組作為訪問控制的基本單元。組和角色概念一個(gè)主要區(qū)別在于：組一般只被看作用戶集合，而不是權(quán)限的集合。角色既是用戶集又是權(quán)限的集合。角色為這兩個(gè)集合牽線搭橋，把它們聯(lián)系在一起。

3 網(wǎng)絡(luò)查詢優(yōu)化數(shù)據(jù)信息安全平臺(tái)建設(shè)

Linux主機(jī)設(shè)備，主流網(wǎng)絡(luò)設(shè)備、Windows服務(wù)器的進(jìn)行的運(yùn)行維護(hù)操作審計(jì)；日常維護(hù)人員操作Sybase數(shù)據(jù)庫(kù)，通過運(yùn)維審計(jì)系統(tǒng)可以審計(jì)到維護(hù)數(shù)據(jù)庫(kù)的操作；可以支持針對(duì)外部廠商遠(yuǎn)程運(yùn)行維護(hù)時(shí)，進(jìn)行操作審計(jì)；審計(jì)協(xié)議支持Telnet、FTP、SSH、SFTP、RDP等；詳細(xì)的權(quán)限分配功能，可以根據(jù)時(shí)間、登錄IP、目標(biāo)資源等進(jìn)行詳細(xì)授權(quán)；支持按時(shí)間、用戶名、被審計(jì)設(shè)備、命令等進(jìn)行的定制報(bào)表，并可以導(dǎo)出Excel或PDF等格式報(bào)表；設(shè)備支持硬件冗余方式，并支持HA（雙機(jī)備份冗余）。

運(yùn)維審計(jì)系統(tǒng)針對(duì)內(nèi)部運(yùn)維人員、廠商技術(shù)支持人員、外包服務(wù)商等對(duì)關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備、查詢平臺(tái)建設(shè)信息安全設(shè)備操作進(jìn)行查詢平臺(tái)建設(shè)信息安全審計(jì)，規(guī)避查詢平臺(tái)建設(shè)信息安全風(fēng)險(xiǎn)，減少查詢平臺(tái)建設(shè)信息安全事件；規(guī)范運(yùn)維流程，加強(qiáng)查詢平臺(tái)建設(shè)信息安全管理，提高運(yùn)維查詢平臺(tái)建設(shè)信息安全水平；對(duì)運(yùn)維查詢平臺(tái)建設(shè)信息安全違規(guī)事件及時(shí)追蹤，并提供可信、完整的技術(shù)依據(jù)；定時(shí)針對(duì)各類系統(tǒng)產(chǎn)生運(yùn)行維護(hù)報(bào)告，審計(jì)運(yùn)維內(nèi)容，提交相關(guān)領(lǐng)導(dǎo)審核，并查詢平臺(tái)建設(shè)信息安全存檔；協(xié)助完善內(nèi)控機(jī)制，達(dá)到數(shù)據(jù)平臺(tái)的合格性要求。

4 總結(jié)

結(jié)合單位內(nèi)部的參考資料和以往開發(fā)案例系統(tǒng)研究分析可行性方案、概念設(shè)計(jì)：分析需求，由粗到精、由模糊到清晰的概括總結(jié)出系統(tǒng)設(shè)計(jì)的概念模型使原型系統(tǒng)開發(fā)有一個(gè)概念的框架、邏輯設(shè)計(jì)、物理設(shè)計(jì)、空間屬性數(shù)據(jù)庫(kù)設(shè)計(jì)：原型系統(tǒng)中用到的數(shù)據(jù)通信空間數(shù)據(jù)庫(kù)以及相關(guān)的屬性數(shù)據(jù)庫(kù)建庫(kù)工作、系統(tǒng)實(shí)現(xiàn)：基于Adobe公司的Flex開發(fā)，Actionscript編寫RIA的豐富前臺(tái)功能、MyEclipse平臺(tái)下Java語(yǔ)言開發(fā)服務(wù)器端的Servlet后臺(tái)處理程序或者借助微軟公司的Visualstudio2005開發(fā)后臺(tái)、ESRI公司的ArcGISServer或者開源的GeoServer數(shù)據(jù)通信服務(wù)器發(fā)布數(shù)據(jù)通信的WMS服務(wù)處理的緩存交由自定義Servlet處理、數(shù)據(jù)通信的開發(fā)框架選用開源的Modestmaps或者ESRI的arcgisapiforflex進(jìn)行實(shí)現(xiàn)數(shù)據(jù)通信瀏覽（放大、縮小、漫游、全圖等）、查詢（圖查屬性、屬性定位查圖）、鷹眼窗口、圖層控制功能、數(shù)據(jù)通信標(biāo)繪功能、數(shù)據(jù)通信渲染、專題圖制作等、編碼測(cè)試、到最后的性能分析和評(píng)價(jià)：通過在本單位研發(fā)中心不斷的測(cè)試系統(tǒng)，分析預(yù)測(cè)結(jié)果，按軟件工程學(xué)的流程進(jìn)行分析，面對(duì)系統(tǒng)用戶給出各種可行性的調(diào)查結(jié)果，分析最終結(jié)果比較得出最佳方案。以及對(duì)數(shù)據(jù)通信核心算法的平臺(tái)建設(shè)整理研究。

參考文獻(xiàn)：

[1]李瑞軒，霍曉麗，文珠穆.多數(shù)據(jù)庫(kù)系統(tǒng)中的全局查詢轉(zhuǎn)換方法研究[J].計(jì)算機(jī)工程，2011，16.

[2]陶世群.多數(shù)據(jù)庫(kù)系統(tǒng)的數(shù)據(jù)模式集成與查詢處理[J].電腦開發(fā)與應(yīng)用，2012，12.

[3]李勇，楊蕾.多數(shù)據(jù)庫(kù)系統(tǒng)中間件的設(shè)計(jì)與實(shí)現(xiàn)方法[J].云南工業(yè)大學(xué)學(xué)報(bào)，2009，04.

[4]李貴，尹朝萬(wàn)，鄭懷遠(yuǎn).大規(guī)模多數(shù)據(jù)庫(kù)系統(tǒng)的互操作機(jī)制[J].計(jì)算機(jī)科學(xué)，2012，01.

[5]李邦慶，馬玉蘭，夏桂梅.實(shí)現(xiàn)PB應(yīng)用程序多數(shù)據(jù)庫(kù)系統(tǒng)配置功能[J].計(jì)算機(jī)工程與應(yīng)用，2012，22.

作者簡(jiǎn)介：徐云霞（1971.9-），女，江蘇泗陽(yáng)人，研究方向：會(huì)計(jì)信息化。

作者單位：淮陰工學(xué)院校醫(yī)院，江蘇淮安 223003